Internet Jones, en busca del Virus perdido II
Siguiente (Corre la Voz: da Mala Suerte Creer en Virus Falsos) |
Anterior (Internet Jones, en busca del Virus perdido II) |
volVer al Lado Oscuro |
volVer a Virus |
volVer al cUCHitril I |
volVer al cUCHitril II
LA CLAVE DE LAS CLAVES
por Héctor Ugalde Corral (UCH)
Artículo publicado en la Revista "Personal Computing México"
Julio 1997
La clave de las claves
Usuario: ¡Alguien hackeó mi cuenta de Internet!
Cracker: Y de seguro no tienes ninguna pista...
Hacker: ¿Y tú sí, Cracker Holmes?
Amigo (usuario Avanzado): Elemental, mi querido Hacker.
Lector: ¿Y qué es eso de "hackear" una cuenta?
Extraño: ¡Éjele! ¡Robarse la personalidad de otro!
U: Es que alguien usó mi cuenta de acceso a Internet.
C: De seguro fue un buen uso...
A: Lo más probable es que ese alguien supo de alguna manera tu password.
U: ¡Pero eso es imposible!
C: "Elimina lo imposible y quedará lo posible"...
A: ¡Otra vez el sentido no común del investigador Cracker Holmes!
H: Claro que no es tan imposible el que te vuelen tu contraseña.
C: Hay de imposibles a imposibles...
H: Lo difícil lo hacemos de inmediato; en lo imposible, nos tardamos un poquito...
C: A veces muy poquito...
U: ¿A poco es tan fácil adivinar un password?
H: No es exactamente adivinar, sino más bien algo así como deducir...
A: ¡Brillante deducción!
H: Aunque en algunos casos se recurre a la fuerza bruta.
C: ¡Tehuacanazos virtuales!
H: ¡No hombre! ¡No todo se resuelve con hardware!, recuerda que nuestros métodos son por software.
C: ¡Pero es que dar una calentadita es bien "cool"!
A: ¡Pues sólo que sea con cautín!
U: ¡¿¿??!
A: Digo, si eres hardwerólogo...
C: ¡El sadomasoquismo me tiene encadenado!
A: Más bien alambrado, ¿no?
U: ¡Bueno! ¡Bueno! ¿A poco es tan fácil deducir un password?
C: Algunos usuarios lo hacen más fácil...
H: Cierto. Unos simplemente ponen su nombre.
A: ¡O su apodo!
H: También hay quien utiliza sus iniciales, o su fecha de nacimiento, o los nombres de los hijos o de la esposa.
A: O esposo...
C: ¡Oye! ¡No te sabía esos gustos!
A: No. Yo más bien me refería a que debe haber usuarias.
U: ¡Por supuesto que debe de haber usuarias!
C: Si no, ¿con quién se casarían los usuarios?
A: Regresando al tema: incluso ustedes los hackers tienen listas de las claves más frecuentemente usadas, ¿no?
U: ¡Ah caray! ¿Y cuáles son las más usuales?
H: Los usuarios tienden a utilizar nombres de dioses o personajes mitológicos, de animales, de personas, de personajes de comics o de ciencia ficción, marcas de autos o de productos u objetos comunes.
A: Curiosamente una de las passwords más usuales es PASSWORD
C: Por aquello de "Escriba password".
A: Otra muy frecuente es SÉSAMO.
H: JOSHUA...
U: ¿Qué es eso?
A: El nombre del hijo del programador del sistema de simulación militar en el filme "Juegos de Guerra".
H: Precisamente en esa película hay varios ejemplos de contraseñas malas.
C: Esas me gustan: ¡se portan muy mal!
H: Más bien: passwords mal elegidos, o sea, fáciles de adivinar o de deducir.
C: "Tammal" hay malos ejemplos de crackeo de claves y de rompimientos de seguridad...
H: Como cuando la computadora intenta todas las combinaciones de números hasta dar con las claves de lanzamiento de los misiles.
A: O la contraseña que cambiaban cada semana, pero que estaba anotada en una hoja de papel guardada en el cajón del escritorio (era PENCIL).
C: ¡La hubiera pegado al monitor de la computadora!
H: Otras recomendaciones son que NO uses claves que consistan en el mismo dígito repetido.
C: Por ejemplo 666...
H: Tampoco la misma letraaaaaaa.
A: Y cuando entres a un sistema, escribe rápido tu contraseña para que no vean qué teclas oprimiste.
H: O tapa una mano con la otra.
C: Que no vea tu mano derecha lo que hace tu izquierda.
U: Pero no todos eligen claves fáciles de adivinar.
C: ¡No me digas!
H: Pues fíjense que hicieron una serie de experimentos en algunas universidades de los Estados Unidos y encontraron que aproximadamente del 10 al 20% de las passwords para acceder a sus sistemas eran contraseñas que se podían adivinar usando los nombres o apellidos de los usuarios, o combinaciones de ellos; o usando una lista de 1,800 nombres comunes de personas.
C: O nombres de personas comunes...
H: Otras pruebas detectaron que también entre el 10 y 20% de claves se podían "romper" usando el programa llamado Crack.
C: ¡Love that code!
H: Aunque originalmente ese programa fue creado por crackers para detectar claves intentando varias sobre el archivo de passwords, ahora también lo utilizan administradores de sistemas para determinar que tan seguros son sus equipos.
A: De por si los administradores configuran sus sistemas para que sólo permitan varios intentos (casi siempre tres) y si no es la clave correcta desconectar la conexión.
C: Para continuar, favor de depositar la password correcta.
H: Incluso pueden detectar cuando ha habido una serie de intentos infructuosos para entonces desactivar temporalmente la clave y que se genere un aviso del intento del rompimiento de la contraseña.
A: Prácticamente todos los sistemas del mundo tienen intentos de intrusiones y no siempre tienen el tiempo para investigar cada uno de ellos.
H: Un simple truco para robarse tu clave es copiar el archivo de configuración del programa marcador Trumpet, Winsock o de acceso telefónico a redes o a Internet.
C: Así ni es necesario saber la clave.
H: También hay quien usa su número de teléfono como password.
A: ¡Ese es otro cuete! ¡Los números! El número de identificación personal (alias NIP) de las tarjetas de crédito. Terminas con tantos números que ¡a todas las tarjetas les pones el mismo!
H: Lo cual es bien fácil de recordar, pero es un gran riesgo de seguridad.
C: Como cuando escriben el NIP en un papelito que ponen en la cartera junto a la tarjeta.
A: Tampoco es recomendable emplear fechas de nacimiento, parte del teléfono o el número de tu domicilio en los NIPs.
H: Los números, en teoría, son más fáciles de "adivinar" que las palabras.
A: ¡Aunque hay quien recomienda el extremo de no usar ninguna palabra!
U: ¡Ah caray! ¿Entonces?
C: ¡K#*2w!
U: ¡Órale! ¡No te metas con mi mamá!
H: No son exactamente groserías, aunque lo parezcan, pero se pueden usar combinaciones de letras, números y símbolos sin sentido.
A: Aunque si no tienen sentido ¡son más difíciles de recordar!
H: Una buena password es fácil de recordar, pero difícil de adivinar.
U: ¿Y cómo le hago?
C: ¡Adivina!
H: Una posibilidad es la de tomar un poema, un refrán, o una frase célebre y tomar la primera letra de cada palabra. Por ejemplo: eradaelp.
A: ¡Sopas! ¿Qué significa eso?
H: El respeto al derecho ajeno es la paz.
C: Ddnastep.
A: ¿Y esa?
C: Después de niño ahogado, se tapa el pozo. O hemsmaq.
A: ¿Cuál es esa otra?
C: Haz el mal, sin mirar a quien.
H: Otro truco para crear passwords difíciles de adivinar consiste en pegar dos palabras .
U: ¿PERROGATO?
H: Lo mejor es que no estén relacionadas.
U: PEPECHUCHO.
H: Y que no sean nombres de personas.
A: Lo mejor es ver si la clave puede contener otros símbolos, por ejemplo PAZ-2001
U: Entonces se pueden mezclar números y palabras.
A: ¿podría ser DOSPALABRAS?
H: O quizás DOS-PALABRAS.
U: R2D2.
A: P455W0RD o CL4V3.
H: Otro punto es que muchos sistemas restringen la clave a una cierta longitud.
C: Lo importante no es el tamaño, sino lo que haces con él...
A: ¿No estamos hablando de claves?
C: Sí... Y en clave...
H: Pues si hay un límite en el número de caracteres, puedes cortar la clave y sólo escribir el inicio.
A: O el final...
H: Otro mecanismo para aumentar la seguridad es la de obligar a los usuarios a cambiar su clave cada determinado tiempo.
U: Con lo que volvemos al problema de recordar el nuevo password.
A: ¡O las mil y un contraseñas que tenemos!
C: ¡¡Ya!! ¡Qué presumido!
H: Bueno, se puede usar un programa que guarde y administre la lista de claves.
U: Pero entonces cualquiera podría entrar a verlas, ¿no?
H: No, si le pones un password al programa.
U: ¡Así sólo tendrías que memorizar una sola clave!
A: Pero no puedes llevar tu computadora al cajero automático.
C: Entonces lleva el cajero a tu computadora...
H: Pues ¿qué te parece un pequeño aparato, algo así como una calculadora/agenda, que almacene las contraseñas?
A: Así, el password del artefacto "memorizador" sería la clave maestra o la clave de las claves.
U: Pero aún así, te podrían volar tu clave, como a mi...
C: Skltpzyxm.
A: ¡Recórcholis! ¿Qué es eso? ¡Esto sí que no son las primeras letras de un refrán!
H: Es el nombre al revés de Mr. Mxyzptlks, uno de los enemigos de Supermán.
U: Hummm...
A: ¡Ahh, ya! El que se regresaba a su dimensión cuando Supermán lograba hacerle caer en la trampa de decir su nombre al revés.
U: Hummm...
C: ¿Qué te pasa? ¿No quieres decir oirausu?...
U: !ON¡
Siguiente (Corre la Voz: da Mala Suerte Creer en Virus Falsos) |
Anterior (Internet Jones, en busca del Virus perdido II) |
volVer al Lado Oscuro |
volVer a Virus |
volVer al cUCHitril I |
volVer al cUCHitril II